Loseremote Fenster resize, Losepasswort

Ich glaub eine PW Diskussion brauchen wir nicht nochmal oder? Wenn die User nichtmal auf ihr KLAMM (=master) Passwort aufpassen können ... was sollte dann ein 2. LosePW bringen? Das lassen sie sich ja auch klauen und ist mit klamm-PW eh änderbar.


Hmm, was wenn deine Bank dir sagen würde,
"Sicherheitsupdates? wozu? Es gibt ja leute die ihren Pin auf die Karte schreiben..."

Denke da würdest du auch nciht sagen, das es overpowered wäre.

Andere Vorschläge, die nicht overpowered sind.
-> Prüfen des PW auf sicherheit, nur Relaitv sicher PWs zulassen
das würde ja auch schon was bringen
 
-> Prüfen des PW auf sicherheit, nur Relaitv sicher PWs zulassen
das würde ja auch schon was bringen
Dann wird eben mH,dh3E,3EhmH. ("mein Hut, der hat drei Ecken, drei Ecken hat mein Hut.") zum Master-Passwort, was überall eingesetzt wird und wieder verloren.

Man sollte dumme User nicht zwingen wollen, schlau zu sein. Sie finden weiterhin einen Weg...

Nein, ich werden nicht bezahlt, aber ich verteil den Link trotzdem in jedem Thema der Art, in der Hoffnung, jemand nimmt es an: www.keepass.info
Sichere Passwörter und das, ohne, dass Luke einen Finger führen muss.
 
Dann wird eben mH,dh3E,3EhmH. ("mein Hut, der hat drei Ecken, drei Ecken hat mein Hut.") zum Master-Passwort, was überall eingesetzt wird und wieder verloren.

Dann bring doch mal ne Konstruktive Idee.
Das sind Vorschläge die für Klamm Relativ einfach umsetzbar sind und schon ein stückchen mehr sicherheit bringt.

Mehr sicherheit würde ja auch die Admins entlasten...
 
Dann bring doch mal ne Konstruktive Idee.
Was für eine Idee? :hö:

Wenn du meinen Post gelesen und die Botschaft, die ich rüberbringen wollte, verstanden hast, hättest du kapiert, dass klamm null und gar nix machen kann.
Das Problem ist einzig und allein der User.

Du kannst Programme (Passwortverwaltung, Virenscanner, Security-Software) anpreisen, du kannst "Wie verhalte ich mich sicher im Internet?"-Seminare anbieten, du kannst ne pinke Blinke-Signatur mit der Aufschrift "klamm-Passwort bitte nur einmalig verwenden!!!!!" einstellen ... solange es dumme User gibt (das Adjektiv hat rein sachliche Funktion), werden wir im wöchentlichen Zyklus Mone's "guckt man, was ich heute alles "sicherheits"gesperrt hab"-Posts lesen.
Mehr sicherheit würde ja auch die Admins entlasten...
Es mag zwar einfach sein, immer das "man kann die Admins entlasten"-Argument vorschieben, aber mal ehrlich: Was können die bitte ändern?! Und die zweite Frage: Was interessiert die das bitte? - dass Mone sich die Mühe macht, Accounts sperrt und danach sogar wieder freischaltet, ist ihr Privatvergnügen. ...ich würds nicht tun ;)

Wenn ich auf meine EC-PIN nicht aufpasse und mein Konto is leer, dann is auch kein klamm-Admin da, der das Konto sperrt und meine Kohle rücküberweist. What the f*** is so schwer, hier auf klamm auf sein Passwort aufzupassen??! :?:
 
Was für eine Idee? :hö:

Eine Idee, die es hier sicherer macht.

Was bringt mir ein Passwort, das ich nirgends anders nutze, das mein Rechner sauber ist, und das relativ sicher ist, wenn Bruteforce möglich ist. (bezieht sich im übrigen auf mein pw dieser absatz!)


was ist sicherer?
4stelliger Pin, der nach 3 maliger Fehleingabe gesperrt wird, oder ein 8 Stelliges PW, das "nie" gesperrt wird?

bzgl. deines Pins, was würdest du sagen, wenn du es zwar sicher in deinem gedächtnis speicherst, aber deine Bank auf sicherheit scheißt und zulässt, das man einfach unbegrenzt pins eingeben kann und so man (der finder deiner verlorenen Karte) dein pin herausbekommen kann!?

Würdest du deine Karte sperren lassen, wenn du Sie verloren hast?
 
Was bringt mir ein Passwort, das ich nirgends anders nutze, das mein Rechner sauber ist, und das relativ sicher ist, wenn Bruteforce möglich ist. (bezieht sich im übrigen auf mein pw dieser absatz!)
Bruteforce ist doch nicht möglich.
was ist sicherer?
4stelliger Pin, der nach 3 maliger Fehleingabe gesperrt wird, oder ein 8 Stelliges PW, das "nie" gesperrt wird?
3 falsche Login-Versuche und du wirst für 10(?) Minuten gesperrt.

Dumme wäre es, wenn man länger gesperrt wird, weil sonst bin ich der erste, der deinen Account dicht macht, weil er eben mit deiner klamm-ID mal eben schnell 3 Fehleingaben macht.

Ich blick ned, was du willst. Bruteforce is immer möglich und wenn mans durch Sperrung verhindert, bist du der Verarschte.

Luke predigt Virenscanner und sonstige Tools, ich predige über Passwortverwaltungsprogramme und Mone reißt sich den Arsch auf, dass die Leute von ihren qwertz- und 123456-Passwörtern weggehen.

Was willst du mehr? Technisch is nicht mehr rauszuholen. Wir haben Bruteforce-Schutz gegen Durchprobieren, wir haben Captcha gegen automatische Logins. Der nächste Schritt wäre dann wohl nur noch Biometrie-Authentifizierung :roll:
 
Am besten bei jedem Login Fingerabdruck scannen :LOL:

Brom

Und warum dann nicht ein TAN-ähnliches Verfahren?

JEder User kann (muss aber nicht) in seinem User-Profil eine TAN-Liste generieren, mit einem initialen zufälligen alphanumerischen String als Startwert

Erzeugt dann eine beliebig lange TAN-Liste mit der man zusätzlich seine Lose-PW bzw. KLAMM-PW absichern kann.

Wie gesagt optional... und das Eingabefeld im Login standardmäßig optional ausser es wurde eine TAN-Liste erzeugt..

Ich hoffe nicht so abwegig...

Gruß,

jiw
 
Meinst du sowas wie bei Sparkasse & Co ?
Nunja erstens müsste man sich diese Tans wieder merken (bzw. ausdrucken & mann kann diese auch herausfinden [Brutforce & Co])
2tens wäre das mit viel Programmierarbeiten verbunden und 3tens rechne mal 100 Tans + 300 000 User => Bezahlst du den Datenbankserver ?:ugly:


Warum eigentlich der ganze Aufwand ?

Nimmt doch einfach ein sicheres Passwort, Herr Gott nochmal. :roll:

Brom
 
Zuletzt bearbeitet:
Und warum dann nicht ein TAN-ähnliches Verfahren?

[...]
Ich hoffe nicht so abwegig...
Abwegig weniger, aber hat genau dasselbe Problem, wie jeder Code, den der User klamm übermitteln muss: Bruteforce möglich.

Stellt sich also wieder die Frage: Ignorier ich solche Attacken, dann hat irgendeiner mal eine richtige TAN und kann was anstellen, blockier ich sie, kann ein Angreifer durch mehrfache Falscheingabe dem User Ärger bereiten.

Und das geht mit jedem Code, also Passwort, TAN und was man sich auch sonst noch aus den Fingern saugt. Drum war mein - übertriebener - Vorschlag das einzig Logische: Ein Code, der nicht gefälscht werden kann, d.h. man Leute bruteforcen lassen kann, wie sie wollen, weil sie nie den richtigen Fingerabdruck finden.

Jetzt kannst du kontern und sagen, dann nehm ich halt einen Code, der so lang is, dass man ihn nicht bruteforcen kann. Meine Antwort: Dann mach dein Passwort halt 120stellig, wenn du dich sicherer fühlst.

Luke hat zwar Recht, dass ein 120stelliges Passwort praktisch auch nicht sicherer, als bereits ein 8stelliges Passwort ist, aber wem das hilft, der soll.

In der Realität ist es halt so, dass Accounts nicht "gehackt" werden, sondern sich einfach in den Account eingeloggt wird, weil das Passwort bekannt ist.
Um das zu verhindern, darf mein sein Passwort einfach nicht hergeben und das ganze Problem wäre gelöst.

Nochmal einen Satz zu den TANs: So wie User ihre Passwörter hergeben, so geben sie auch ihre TANs her.
 
Abwegig weniger, aber hat genau dasselbe Problem, wie jeder Code, den der User klamm übermitteln muss: [...] So wie User ihre Passwörter hergeben, so geben sie auch ihre TANs her.

Hab es mal auf das Wesentliche gekürzt :p:mrgreen:

Da hast Du natürlich recht.. wobei ein Vergleich (bzw. eiine zufallsauswahl / -Eingabe der TAN) sicher schneller machbar ist als nu ne aufwendige PW PW noch ne PW-Funktion wenn Du verstehst was ich meine... aber den User am Bildschirm kann man leider nicht ersetzen.. :ugly: (vielleicht bei Web10.0?? :mrgreen::mrgreen:)

Grüßle,

jiw
 
Bruteforce ist doch nicht möglich.
3 falsche Login-Versuche und du wirst für 10(?) Minuten gesperrt.
In der Realität ist es halt so, dass Accounts nicht "gehackt" werden, sondern sich einfach in den Account eingeloggt wird, weil das Passwort bekannt ist.

Dazu siehe:
In der letzten Zeit gab es mehrere brute force-Angriffe auf klamm-Accounts. Es gibt zwar eine kurzzeitige Loginsperre, wenn das Passwort zu oft falsch eingegeben wurde. Dieser Mechanismus wurde aber umgangen, indem jeweils ein Account nur wenige Male "getestet" wurde, und danach eben der nächste. Um solche automatischen Loginversuche zu verhindern, wurde der Code (Captcha) beim Login geändert.​
Diesmal betroffen:

P.S. von Biometrie halt ich nix, das ist auch leicht zu fälschen ;) Davon kann doch glaube Schäuble inzwischen ein liedchen trällern...

Schön wäre bei dem, wenn man mal sieht welche IP, Mit welchem PW versucht hat sich bei seinem Account einzuloggen, so wie es bei Banken ist (Letzten Loginversuche)
 
Ich kenne Mone's Aussage, aber ich kann auch rechnen. So viele klamm-Accounts haben wir nicht, dass man systematisch alle Kombinationen ausprobieren kann. Und selbst wenn: die beste Abwehr gegen Bruteforce sind lange Passwörter.
Wenn das 5stellige in 4 Minuten geknackt is, das 6stellige in 6 Stunden und das 8stellige in 4 Wochen, dann is mein Passwort eben 32stellig und damit steigt die benötigte Zeit zum Erfolg auf 10[sup]26[/sup] Jahre (Werte erfunden, aber einigermaßen an der Realität).

Wieder mal mein Punkt: Die geforderte Sicherheit kann jederzeit vom User hergestellt werden. Tut nur keiner :roll:
Davon kann doch glaube Schäuble inzwischen ein liedchen trällern...
Oh oh, Politik, davon versteh ich eh nix.
Schön wäre bei dem, wenn man mal sieht welche IP, Mit welchem PW versucht hat sich bei seinem Account einzuloggen, so wie es bei Banken ist (Letzten Loginversuche)
Das würde ich vielleicht sogar noch für sinnvoll erachten. Die IP weniger, weil die nix bringt, aber das PW, damit man sieht, ob systematisch einer probiert oder sich einer einfach nur in der KID vertippt hat.
Ob das allerdings datenschutztechnisch machbar ist, bleibt die Frage.
 
Eingaben sichtbar zu machen halte ich nicht für optimal. Dann müsste ich nach jedem Zahlendreher mein Passwort ändern - oder alternativ jeder würde dann versuchen das Passwort selbst irgendwo einzugeben.

Die "Schutzwarnung" hat man eh, wenn dort steht, dass das PW falsch eingegeben wurde in der letzten Zeit. Passwort ändern und gut ist :think:

BruteForce ist ein Ansatz der bei Klamm nur sehr bedingt zum Einsatz kommen kann und jeder von uns kennt die Berechnungen für die Angriffszeit mit Passwörtern/Sekunden/Datensatz. Je mehr umso länger umso unwahrscheinlicher ist ein BF Angriff der erfolgreich ist.
 
Wo sollte es datenschutztechnisch Probleme geben, wenn in meinem Account mir angezeigt wird, was mit meinem Account passiert?
IP-Adresse würde ich nicht als personenbezogenes Datum ansehen, da du ja nur durch nen Staatsanwalt an den "Inhaber" kommen würdest.

Wieder mal mein Punkt: Die geforderte Sicherheit kann jederzeit vom User hergestellt werden. Tut nur keiner

Lukas könnte dafür sorgen, das die gefordrte Sicherheit eingehalten wird, indem er z.b. nur >8stellige PWs akzeptiert

>BrutforceSchutz verbessern ( der Trick, der genutzt wurde, sollte ihm ja nun bekannt sein).

@Cybo
nun das "bedingt zum Einsatz" ist schainbar aber nicht so bedingt wie gedacht...
 
>BrutforceSchutz verbessern ( der Trick, der genutzt wurde, sollte ihm ja nun bekannt sein).
Man könnte, um das ganze etwas zu erschweren, noch die IP bei mehreren Fehlversurchen für eine bestimmte Zeit sperren und nicht nur den User. WÜrde bei Botnetzten aber auch nichts bringen.

Will aber jetzt auch nicht mehr dazu sagen, den das Problem sitzt eigentlich immer noch vorm Bildschirm. Wenn einer per Bruteforce über diese Methode an die Daten kommt, dann is das Passowort unsicher gewesen. Und man kann die User ja leider nicht dazu bewegen, diese sicherer zu machen und nicht überall zu verwenden (gehört nicht zum Bruteforcen, aber allgemein gesagt).
 
Wo sollte es datenschutztechnisch Probleme geben, wenn in meinem Account mir angezeigt wird, was mit meinem Account passiert?

Lukas könnte dafür sorgen, das die gefordrte Sicherheit eingehalten wird, indem er z.b. nur >8stellige PWs akzeptiert

>BrutforceSchutz verbessern ( der Trick, der genutzt wurde, sollte ihm ja nun bekannt sein).

@Cybo
nun das "bedingt zum Einsatz" ist schainbar aber nicht so bedingt wie gedacht...

Ich rede nicht von der IP, sondern vom eingegebenen Passwort. Zumal, was möchtest du mit einer IP, sie bringt dir nichts :think:

Eine maximal Anzahl für Passwörter ist was sinniges, ABER das ist heute schon locker möglich, der User müsste nur mal ein längeres PW wählen - zwingt ihn keiner ein kurzes zu nehmen ;)

Der Schutz ist doch schon recht gut, nach 3 Eingaben wird gesperrt. Die Wahrscheinlichkeit für ein langes PW einen erfolgreichen BF Angriff durchzuziehen ist auf 1 Jahr gesehen fast 0 und dann ändert man das Passwort *g*

Schau mal wie viel % der Accounts wirklich mit BF geöffnet wurden von den angemeldeten und wie viele einfach ihr Passwort durch die Gegend verteilen. Ausnahme bleiben natürlich die user, die immer noch nicht wissen, dass man kurze reale Wörter eben nie verwenden sollte.
 
Es gab ein BruteForce "light", indem halt immer 3x getestet wurde, dann der nächste Account und nach 10min wieder der erste ... das Entscheidende dabei war, dass das automatisch geschah, weil das alte Login-Captcha zu einfach war. Deshalb hab ich reCAPTCHA eingebaut und seitdem sind diese Attacken gestoppt. (aber das wollen die User ja nicht sehen, sondern meckern direkt wieder über reCAPTCHA ... und gerade DIE User, die betroffen waren!!! -.- )